Upload
vunhu
View
243
Download
3
Embed Size (px)
Citation preview
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Cours 1 : Introduction a la Securite des
Systemes d’Information
Odile PAPINI
ESILUniversite de la [email protected]
http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Plan du cours 1
1 Introduction
2 Etat des lieux
3 Les normes ISO 17799, ISO 27002
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Plan du cours
Introduction
Etat des lieux
Normes ISO 17799, ISO 27002
Panorama des menaces
Panorama des attaques
Politiques de securite
Controle d’acces
Detection d’intrusions
Biometrie
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Systeme d’information (definition)
Le systeme d’information comprend les materielsinformatiques et les equipements peripheriques, les logicielset microprogrammes, les algorithmes et specificationsinternes aux programmes, la documentation, les moyens detransmission, les procedures, les donnees et les informationsqui sont collectees, gardees, traitees, recherchees outransmises par ces moyens ainsi que les ressources humainesqui les mettent en oeuvre.
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Securite :
protection contre les accidents
protection physique
qualite de l’environnement
fiabilite des systemes, pannes, tolerance de pannes
systemes de secours, sauvegardes, maintenance
qualite de base des logiciels
confidentialite, integrite, disponibilite
intrusion reseau
virus, piratage, · · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
L’information numerique est vulnerable
peut etre detruite, amputee, falsifiee, modifiee
pas d’original, ni de copies mais des clones ou la reproductionest a l’identique
L’information numerique est volatile
peut etre ajustee, personnalisee
un document generique peut etre particularise pour undestinataire specifique
un logiciel general peut etre ajuste selon le contexte ou cibleselon un usage specifique
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
securite des SSI : concepts cles
Fig.: source : W. Stallings & L. Brown
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction : perimetre de la securite des SSI
Fig.: source : W. Stallings & L. Brown
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
les enjeux de la securite des SSI
maıtriser le traitement, le stockage, le transport del’information
valoriser les contenus
multimedia, logiciel, proprietes intellectuelles, · · ·libre circulation des contenusdisseminer les oeuvres, retribuer les auteurs
asseoir la confiance dans l’univers numerique
e-commerce, e-buisness, e-gouvernement, · · ·
securiser
les personnes (libertes, protection de d’intimite)les entreprises et organisations (prevention des risques)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Securite :
norme ISO 27002 (ex ISO 17799 :2005) : decrit les differents itemsa couvrir dans le domaine de la securite des SSI
Qui est concerne par la securite des SSI ?
les informaticiens
les dirigeants
les utilisateurs
tous les membres du groupe concernes par le systemed’information
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Pluridisciplinarite de la securite :
ethique
legislation
reglementation
technique
methodologie
normes
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
vulnerabilite des systemes d’information
cohabitation de nouvelles et anciennes applications
interconnection de differents SI
ouverture du SI vers l’exterieur (internet)
telemaintenance, infogerance
mobilite, nomadisme
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
origine des sinistres
attaques logiques
virus
malveillance
erreurs / negligence
catastrophes naturelles
terrorisme · · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
pertes dues a des pbs de securite
Fig.: au niveau international (source : FBI 2006) (1)Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
consequences :
fermeture de l’entreprise
perte financiere
perte de contrat
litige
· · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Securite des SSI
enjeu economique et social fondamental
aussi enjeu pour l’integrite de la nation
defi permanent
les risques sont enormes
mais(heureusement) il y a peu de sinistres (declares)
cependant il faudrait anticiper : la securite a un cout
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Mise en place d’une politique de securite (PSI)
liens sensibles
menaces
impacts
mesures a adopter
55% des entreprises sont dotees dune PSI (source : rapportCLUSIF 2008)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les entreprises
definir une politique de securite :
aspects techniques
aspects humains
communiquer, sensibiliser :
aspects techniques
aspects humains
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
Mise en oeuvre d’une politique de securite :
systeme d’authentification (biometrie, serveur d’authentification , · · · )
chiffrement (PKI, mecanismes integres a des protocoles decommunication (IPsec), · · · )
pare feux (firewall)
systeme anti-virus
outil de detection de failles de securite
systeme de detection d’intrusions
systeme d’exploitation securise
· · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Introduction
technologies utilisees
Fig.: au niveau international (source : FBI 2006) (2)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux
La securite en quelques chiffres :sources CLUSIF, 2008
http ://www.clusif.asso.fr/
enquete realisee aupres de :
354 entreprises de plus de 200 salaries
194 collectivites locales, conseils, regionaux, generaux, mairiesde plus de 30 00 habitants
1139 internautes
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : Methodologie de l’enquete
norme ISO 27002(ex 17799) pour les entreprises etcollectivites :
theme 5 : politique de securite
theme 6 : organisation de la securite et moyens
theme 7 : gestion des risques lies a la securite des SI
theme 8 : securite des ressources humaines (charte, sensibilisation)
theme 10 : gestion des communications et des operations
theme 11 : controle des acces
theme 12 : acquisition, developpement et maintenance
theme 13 : gestion des incidents de securite
theme 14 : gestion de continuite
theme 15 : conformite (CNIL, audits, tableaux de bord)
theme 9 : securite physique non aborde
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : methodologie de l’enquete
themes abordes pour les internautes
caracterisation socioprofessionnelle et identification des outilsinformatiques
usage de l’informatique et d’internet a domicile
gestion des risques lies a la securite des SI
perception de la menace informatique, sensibilite aux risques et a lasecurite, incidents rencontres
pratiques de securite mises en oeuvre (comportement, solutionstechniques)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les entreprises
secteurs d’activites
BTP
Commerce
Industrie
Services, banque, assurances
Transport
Telecoms
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les entreprises
effectifs de l’echantillon
n : effectifs pourcentage
200 ≤ n ≤ 499 66%
500 ≤ n ≤ 999 19%
n > 1000 15%
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les entreprises
rapport CLUSIF 2008 :
http ://www.clusif.asso.fr/fr/infos/event/♯conf080619
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les collectivites locales
collectivites locales
Mairies de plus de 30 000 habitants
Communautes d’agglomeration de plus de 50 000 habitants
Communautes de communes de plus de 20 000 habitants
Conseils generaux
Conseils regionaux
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les collectivites locales
echantillon
collectivites pourcentage
mairies 34%
communautes de communes 32%
communautes d’agglomeration 20%
conseils generaux 11%
conseils regionaux 3%
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les collectivites locales
rapport CLUSIF 2008 :
http ://www.clusif.asso.fr/fr/infos/event/♯conf080619
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Etat des lieux : les internautes
rapport CLUSIF 2008 :
http ://www.clusif.asso.fr/fr/infos/event/♯conf080619
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Securite
Que proteger ?
De quoi les proteger ?
Quels sont les risques ?
l’entreprise ?
Liste des menaces
Liste des biens a proteger
Liste des impacts et probabilites
Liste des contre-mesuresComment proteger
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Normes internationales concernant la securite del’information les plus recentes
norme ISO 17799 : differentes versions
norme ISO 17799 : 2005 de juin 2005 a juin 2007
norme ISO 27002 depuis juillet 2007
Titre de la norme ISO 27002 :Code de bonnes pratiques pour la gestion de la securitel’informationhttp ://www.iso.org/iso/iso catalogue/catalogue tc/catalogue detail.htm ?csnumber=39612
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
objectifs et recommandations pour la securite informatique
publiee en juin 2005
repondre aux preoccupations globales de securisation desentites pour l’ensemble de leurs activites
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
ORGANISATIONNEL
OPERATIONNEL
12 developpement et
maintenance
11 gestion
de continuite
13 gestion
des incidents
9 securite physique
et environnementale
11 controle
d’acces
8 securite des
ressources humaines
15 conformite
7 gestion des actifs
de la securite
6 organisation
5 politique
de securite
10 gestion des communications
et de l’exploitation
ARCHITECTURE DE LA NORME ISO 17799
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
couverture thematique de la norme ISO 17799
la norme identifie des objectifs pour la securite informatique selon3 criteres :
confidentialite : absence de divulgation non autoriseed’informations
integrite : prevention de modifications ou de suppressionsnon autorisee d’informations
disponibilite : garantit l’acces aux informations du systeme
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
les objectifs de securite sont regroupes en 11 thematiques :
politique de securite
organisation de la securite
classification et controle du ”patrimoine informationnel”
securite et ressources humaines
securite physique
gestion des operations et des communications
controle d’acces
acquisition, developpement, maintenance
gestion des incidents
gestion de la continuite d’activite
conformite a la reglementation interne et externe
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
Securite
l’entreprise ?
Liste des menaces
Liste des biens a proteger
Liste des impacts et probabilites
Liste des contre-mesures
2) De quoi les proteger ?
3) Quels sont les risques ?
4) Comment proteger
1) Que proteger ?
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
mise oeuvre de la norme ISO 17799
etapes 1) - 3) : laissees aux entites (choix de methodologie)etapes 4) : corps de la norme ISO 17799
Il est necessaire de :
d’identifier les exigences legales et reglementaires
d’identifier les enjeux de l’entite et les attentes qui endecoulent
de definir un perimetre de mise en application de la norme
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
analyse de risques
la norme ISO 17799 recense des modalites et des regles pourtraiter les risques (reduire, transferer, prendre ou refuser lesrisques)la norme ISO 17799 recommande en complement uneanalyse de risques, (sans preciser la methode)les methodes reconnnues les plus connues (en France) :
MARION (CLUSIF) : https ://www.clusif.asso.fr/
MEHARI (CLUSIF) :https ://www.clusif.asso.fr/fr/production/mehari
EBIOS (DCSSI) :http ://www.ssi.gouv.fr/fr/confiance/ebios.html
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
norme ISO 17799 : outil de communication
referentiel pour communiquer :
a l’interieur de l’entite (responsables, personnels)
a l’exterieur de l’entite (partenaires, clients)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La norme Norme ISO 17799
De A sur quoi communiquer
direction generale besoin d’etablir une politique desecurite inspiree de l’ISO 17799
responsable toute l’entite la sensibilisationsecurite des services et des personnels
toute l’entite le bien-fonde des mesuresde securite a mettre en place
direction generale la conformite des mesures desecurite par rapport au
cadre de la norme
entite clients la coherence de la demarchede securite avec
la norme ISO 17799partenaires le bien-fonde d’imposer des
exigences de securitecoherentes avec ISO 17799
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
La Norme ISO 17799
la norme ISO 17799 n’est pas une certification
certification :
delivree par un organisme independant
permet d’attester la conformite d’un produit, systeme, service
s’appuie sur un audit
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Norme ISO 27002 en vigueur depuis juillet 2007
Titre de la norme ISO 27002 : Code de bonnes pratiques pourla gestion de la securite l’information
evolution de la norme ISO 17799 :2005 pallie ses principalesinsuffisances :
definition de niveaux de securite,
la methodologie d’analyse et de gestion des risques(norme ISO 27005),
la notion de plan d’action,
la notion d’indicateurs et de metriques de securite(norme ISO 27004).
http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue
detail ics.htm ?csnumber=50297Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
organisees sur 12 themes :
Chapitre 4 : Appreciation et traitement du risque.
Chapitre 5 : Politique de securite.
Chapitre 6 : Organisation de la securite de l’information.
Chapitre 7 : Gestion des biens.
Chapitre 8 : Securite liee aux ressources humaines.
Chapitre 9 : Securite physique et environnementale.
Chapitre 10 : Gestion des communications et de l’exploitation.
Chapitre 11 : Controle d’acces.
Chapitre 12 : Acquisition, developpement et maintenance dessystemes d’information.
Chapitre 13 : Gestion des incidents lies a la securite del’information.
Chapitre 14 : Gestion de la continuite d’activite.
Chapitre 15 : Conformite legale et reglementaire.Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Fig.: (source : Herve Schauer consultants)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Fig.: (source : Herve Schauer consultants)
Odile PAPINI Securite des Systemes d’Information
IntroductionEtat des lieux
Les normes ISO 17799, ISO 27002
Les normes ISO 17799, ISO 27002
Fig.: (source : Herve Schauer consultants)Odile PAPINI Securite des Systemes d’Information